前言
本文是面對准備加入Active Directory編程的初學者的一份文章,主要是講解Active Directory(活動目錄)的一些概念和相關知識。這篇文章本來是不想寫下來的,因為概念性內容的編寫需要查閱很多的資料,也怕自己講的不夠明白亦或者存在局限性,但是在我入門的時候這方面的資料網上比較分散化,並沒有一個統一完整的文章,而且講解比較官方化難以理解,所以還是想把這篇文章補充上吧。這些概念的正確認識個人認為在初期非常的有必要,深入理解這些有關Active Directory(活動目錄)的基本概念,將讓我們在后面不論是用.NET Framework提供的API還是使用Windows PowerShell編程Active Directory有關程序的時候都會事半功倍。
Active Directory
Active Directory中文翻譯為活動目錄,這個概念不需要太過深入糾結,簡單的理解它:Active Directory(活動目錄)是微軟Windows Server中,負責架構中大型網路環境的集中式目錄管理服務(Directory Services),Windows 2000 Server開始內建於Windows Server產品中,它處理了在組織中的網路物件,物件可以是計算機,用戶,群組,組織單元(OU)等等,只要是在Active Directory結構定義檔(schema)中定義的物件,就可以儲存在Active Directory資料檔中,並利用Active Directory Service Interface來存取。
Actiove Directory作用
AD(Actiove Directory簡稱)微軟構建這樣的一個服務它的意義何在?個人認為可以分為以下幾個方面來了解:
1.用戶服務
管理用戶的域賬號、用戶信息、企業通信錄(與電子郵箱系統集成)、用戶組管理、用戶身份認證、用戶授權管理、按需實施組管理策略等。這里不單單指某些線上的應用更多的是指真實的計算機,服務器等。C#語言能涉及的領域非常之廣泛,根據Windows提供的.NET Framework和PowerShell完全可以做到監聽某機器的按鍵或獲取最高權限等操作。(網友的分享可以簡單了解http://www.freebuf.com/articles/system/129412.html)。
2.計算機管理
管理服務器及客戶端計算機賬戶、所有服務器及客戶端計算機加入域管理並按需實施組策略。
3.資源管理
管理打印機、文件共享服務、網絡資源等實施組策略。
4.應用系統的支持
對於電子郵件(Exchange)、在線及時通訊(Lync)、企業信息管理(SharePoint)、微軟CRM,ERP等業務系統提供數據認證(身份認證、數據集成、組織規則等)。這里不單是微軟產品的集成,其它的業務系統根據公用接口的方式一樣可以嵌入進來。
5.客戶端桌面管理
系統管理員可以集中的配置各種桌面配置策略,如:用戶適用域中資源權限限制、界面功能的限制、應用程序執行特征的限制、網絡連接限制、安全配置限制等。
Actiove Directory域架構常用對象
1.域(Domain).簡單理解為:A公司總部
域(Domain)是AD的跟,是AD的管理單位。域中包含着大量的域對象,如:組織單位(Organizational Unit),組(Group),用戶(User),計算機(Computer),聯系人(Contact),打印機,安全策略等。
2.組織單位(Organization Unit).簡單理解為:A公司的分公司
組織單位簡稱為OU是一個容器對象,可以把域中的對象組織成邏輯組,幫助網絡管理員簡化管理組。組織單位可以包含下列類型的對象:用戶,計算機,工作組,打印機,安全策略,其他組織單位等。可以在組織單位基礎上部署組策略,統一管理組織單位中的域對象。
3.群組(Group).簡單理解為:某分公司里的某事業部
群組是一批具有相同管理任務的用戶賬戶,計算機賬戶或者其他域對象的一個集合。例如公司的開發組,產品組,運維組等等。
群組類型分為兩類:
安全組:用來設置有安全權限相關任務的用戶或者計算機賬戶的集合。比如:Tiger組都可以登錄並訪問某ftp地址,並拿到某個文件。
通信組:用於用戶之間通信的組,適用通信組可以向一組用戶發送電子郵件。比如:我要向團隊內10為成員都發送同一封郵件這里就要抄送9次,而使用組的話我直接可以發送給@Tiger,所有Tiger組內的成員都會收到郵件。
4.用戶(User).簡單理解為:某個工作人員
AD中域用戶是最小的管理單位,域用戶最容易管理又最難管理,如果賦予域用戶的權限過大,將帶來安全隱患,如果權限過小域用戶無法正常工作。
域用戶的類型,域中常見用戶類型分為:
普通域用戶:創建的域用戶默認就添加到"Domain Users"中。
域管理員:普通域用戶添加進"Domain Admins"中,其權限升為域管理員。
企業管理員:普通域管理員添加進"Enterprise Admins"后,其權限提升為企業管理員,企業管理員具有最高權限。
以上4個AD對象是我們入門必須盡快消化理解的概念。而AD中的對象概念還有很多,包括DNS,域林,域樹,根域等等。以及有關計算機的概念如:獨立服務器,成員服務器,域控服務器(這個是我們做AD開發的工程師們需要着重研究的),客戶端計算機等。這里不再詳細描述,如以后有需要會再做補充跟大家分享,一個大致的AD如下圖所示。
Actiove Directory中數據結構
AD的數據結構為樹形結構,層次結構。樹狀目錄形管理,面向對象式的存儲。域(Domin)--->組織單位(Organization Unit)--->群組(Group)--->用戶(User)從左至右依次嵌套,形成樹狀型結構。有點像文件夾的存儲方式。
需要注意的點:
1.OU里面可以再有OU一級一級嵌套進去,但是User是我們操作的最小管理單位。
2.在不區分主域控服務器和輔域控服務器時候,在同一域控服務器內,不能存在同名的域。正如不會存在兩個同名的公司一樣。
3.同一層級的OU中不能存在相同名稱的OU,但是在不同層級的OU中是可以有相同名稱的OU存在。比如北京分公司可以有移動事業部,上海分公司也可以有移動事業部。但是北京分公司里不會有兩個一模一樣名稱的移動事業部,領導開會說的是哪個部分下面的人根本分不清,計算機其實有時候比人還要笨。
4.User在相同OU中不能出現同名的情況,在不同OU中是可以有相同名稱的User存在的。但是在全局即整個Domain中是不允許出現相同用戶登錄名的用戶存在的。用戶登錄名(UserPrincipalName)是User的一個屬性可簡單理解為User的全局唯一的屬性(但是域對象有專門的Primary key,這里先不做介紹)。前面說AD里對象數據的存儲是面向對象式的存儲方式就在這兒。一個AD對象它附帶着很多的屬性,比如:User對象,在它的屬性編輯器里大約有幾百個屬性,有一些是我們可以看到的,還有一些是微軟不讓我們看的。但是我們常用的屬性根據業務場景的不同大約不會超過30個。后面在編程階段會詳解常用的屬性。
結語
以上是本文的全部內容,對於LDAP協議,DN,CN等概念,個人認為在后面的實際編程章節中做介紹較為合理,所以在此省略。謝謝大家。
本文章最后修改時間:2017年4月9日 00:22.32
作者:IFire47 出處:http://www.cnblogs.com/IFire47/